Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

Comment appliquer l’authentification MFA aux utilisateurs IAM qui utilisent l’AWS Management Console et l’AWS CLI ?

Lecture de 3 minute(s)

J’ai créé une politique de condition d’authentification multifactorielle (MFA) pour restreindre l’accès aux services AWS pour les utilisateurs de la gestion des identités et des accès AWS (AWS IAM). La politique fonctionne avec la console de gestion AWS, mais pas avec l’interface de la ligne de commande AWS (AWS CLI).

Brève description

L’exemple de politique IAM suivant oblige les utilisateurs IAM à utiliser l’authentification multifactorielle (MFA) pour accéder à des services AWS spécifiques :

{  "Sid": "BlockMostAccessUnlessSignedInWithMFA",
  "Effect": "Deny",
  "NotAction": [
    "iam:CreateVirtualMFADevice",
    "iam:DeleteVirtualMFADevice",
    "iam:ListVirtualMFADevices",
    "iam:EnableMFADevice",
    "iam:ResyncMFADevice",
    "iam:ListAccountAliases",
    "iam:ListUsers",
    "iam:ListSSHPublicKeys",
    "iam:ListAccessKeys",
    "iam:ListServiceSpecificCredentials",
    "iam:ListMFADevices",
    "iam:GetAccountSummary",
    "sts:GetSessionToken"
  ],
  "Resource": "*",
  "Condition": {
    "Bool": {
      "aws:MultiFactorAuthPresent": "false",
      "aws:ViaAWSService": "false"
    }
  }
}

Dans la politique précédente, les utilisateurs IAM qui utilisent l’AWS Management Console sont invités à saisir des informations d’authentification MFA pour accéder aux services AWS. Cependant, les utilisateurs IAM qui utilisent l’AWS CLI ne sont pas invités à saisir des informations d'authentification MFA pour accéder aux services AWS.

Résolution

**Remarque :**Si des erreurs surviennent lorsque vous exécutez des commandes AWS CLI, consultez l’article Résoudre les erreurs AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.

Étant donné que la clé aws:MultiFactorAuthPresent n’existe pas dans les demandes d’informations d’identification à long terme, elle ne refuse pas l’accès aux demandes. Si la clé de la politique ne correspond pas à l’opérateur de condition booléen, les valeurs ne correspondent pas.

Les utilisateurs IAM qui utilisent l’AWS Management Console génèrent des informations d’identification temporaires et n’autorisent l’accès que lorsqu’ils utilisent l’authentification multifacteur.

Pour appliquer l’authentification MFA à l’aide de l’AWS CLI, ajoutez l’opérateur de condition IfExists pour vérifier si la clé MultifactorAuthPresent figure dans la demande. La condition booléenne vous permet de restreindre l’accès à l’aide d’une valeur de clé définie sur vrai ou faux. Si la clé MultifactorAuthPresent ne figure pas dans la demande, IfExists évalue l’élément de condition comme étant vrai.

Exemple de stratégie IAM :

{
    "Sid": "BlockMostAccessUnlessSignedInWithMFA",
    "Effect": "Deny",
    "NotAction": [
        "iam:CreateVirtualMFADevice",
        "iam:DeleteVirtualMFADevice",
        "iam:ListVirtualMFADevices",
        "iam:EnableMFADevice",
        "iam:ResyncMFADevice",
        "iam:ListAccountAliases",
        "iam:ListUsers",
        "iam:ListSSHPublicKeys",
        "iam:ListAccessKeys",
        "iam:ListServiceSpecificCredentials",
        "iam:ListMFADevices",
        "iam:GetAccountSummary",
        "sts:GetSessionToken"
    ],
    "Resource": "*",
    "Condition": {
        "BoolIfExists": {
            "aws:MultiFactorAuthPresent": "false",
            "aws:ViaAWSService": "false"
        }
    }
}

Remarque : les utilisateurs IAM qui utilisent AWS CLI avec des informations d’identification longue durée se voient refuser l’accès et doivent utiliser MFA pour s’authentifier. Veillez à utiliser un jeton MFA pour authentifier votre session CLI.

Informations connexes

Comment demander aux utilisateurs d'autres comptes AWS d'utiliser l'authentification multifacteur pour accéder à mes compartiments Amazon S3 ?

Utilisation de l’authentification multifactorielle

Attribuer des appareils MFA dans l’AWS CLI ou l’API AWS

Sujets

Sécurité, identité et conformité

Balises

AWS Identity and Access Management

Langue

Français

Vidéos associées

Regarder la vidéo de Nikhil pour en savoir plus (4:42)

AWS OFFICIELA mis à jour il y a 8 mois

Aucun commentaire

Contenus pertinents

Où trouver l'état des SMS envoyés pour le MFA ?
Réponse acceptée
Nicolas
demandé il y a 2 ans
Compte suspendu
Gautier
demandé il y a 8 mois
[ACTION REQUIRED] Update your TLS connections to 1.2 : quelles applications sont concernées ?
rePost-User-7550145
demandé il y a 2 ans
Lancement d'une instance Ec2 via CLI Terraform
abdelaziz
demandé il y a un an
Comment changer l'émetteur utilisé pour envoyer les SMS ?
Nicolas
demandé il y a 2 ans
Comment puis-je utiliser l'interface de ligne de commande AWS pour authentifier l'accès aux ressources AWS à l'aide d'un jeton MFA ?
AWS OFFICIELA mis à jour il y a un mois
Comment puis-je résoudre l'erreur « entity already exists » lorsqu'un utilisateur IAM essaie de créer un nouvel appareil MFA ?
AWS OFFICIELA mis à jour il y a 9 mois
Comment puis-je réinitialiser un appareil MFA perdu ou défectueux pour mon utilisateur IAM ou l'utilisateur racine de mon compte AWS ?
AWS OFFICIELA mis à jour il y a 8 mois
Comment puis-je activer l'authentification multifactorielle TOTP pour les groupes d'utilisateurs Amazon Cognito ?
AWS OFFICIELA mis à jour il y a 5 mois